Fortigateを使ってIPSec-VPNを構築してみる(Fortigate60D-IX2215編)

VPN

久しぶりに他機種間のVPN接続について書きます。

今回はFortigate60DとIX2215でIPsec-VPNを構築してみたいと思います。

もし、FortigateとYAMAHAのRTXのVPNが見たい方はこちらをご覧ください。

Fortigateを使ってIPSec-VPNを構築してみる(Fortigate60D-RTX1100編)

以下サイトを参考にしながら構築してみました。
サイトではMainモードで構築していますが、今回はAggressiveモードで構築しています。

https://kb.fortinet.com/kb/documentLink.do?externalID=13885

目次

●構成

以下のような構成で構築しました。

Foritigateに必要な設定は以下になります

・VPN
・ポリシー
・ルーティング

それでは設定していきます。

●手順_Fortigate

まずは、VPNの設定からやっていきましょう

●VPNの設定

「VPN」>「IPsecトンネル」>「新規作成」

以下のように設定します。

名前:ToIX2215
テンプレートタイプ:カスタム

ネットワーク
IPバージョン:IPv4
リモートゲートウェイ:固定IPアドレス
IPアドレス:192.168.101.254
インターフェース:wan1
モード設定:無し
NATトラバーサル:有効
Dead Peer Detection:オンデマンド
認証方式:事前共有鍵
事前共有鍵:testvpn

IKE
バージョン:1
モード:アグレッシブ

 

ピアオプション
受け入れるタイプ:任意のピアID

Phase1プロポーザル
暗号化:AES256 認証:SHA256
Diffie-Hellman Group:2
鍵の有効時間(秒):86400
ローカルID:無し

XAUTH
タイプ:無効

Phase2の作成
名前:To-IX2215
ローカルアドレス:192.168.41.0/24
リモートアドレス:192.168.1.0/24

Phase2プロポーザル
暗号化:AES256 認証:SHA256
ReplayDetectionを有効:有効
Perfect Forward Secrecy(PFS)を有効:有効
Diffie-Hellman Group:2
ローカルポート:チェック
リモートポート:チェック
プロトコル:チェック
自動鍵キープアライブ:なし
鍵の有効時間:秒
秒:43200

●ポリシーの設定

ポリシーについては設定値のみ記載します。
詳細な設定方法については以下のページを参照ください。

ポリシーの設定

・ポリシーの値

入力インターフェース:internal
出力インターフェース:To-TX2215
送信元;all
宛先:all
サービス:ALL
NAT:無効

以上で、ポリシーの設定は終わりです。

●ルーティングの設定

ルーティングも設定値のみ記載します。

「ネットワーク」>「ルーティング」>「新規作成」>以下設定を入力し、OK

宛先:192.168.1.0/24
デバイス:To-IX2215

以上で、Forigate側の設定は以上となります。

前回使った、Foritgate-YAMAHA間の動画ですが、設定は同じなので載せておきます。

続いて、IX2215側の設定に移ります。

手順_IX2215

コンソールやリモートでIX2215へ接続し、以下コマンドを実行。
VPNのパラメータはFortigate側と合わせています。

IX2215コマンド

ip route 192.168.41.0/24 Tunnel1.0

ip access-list sec-list permit ip src any dest any

ike proposal ikeforti encryption aes-256 hash sha2-256 group 1024-bit lifetime 86400
ike policy ike-policy-forti peer any key ix-forti mode aggressive ikeforti

ipsec autokey-proposal secforti esp-aes-256 esp-sha2-256 lifetime time 43200
ipsec dynamic-map ipsec-policy-forti sec-list secforti ike ike-policy-forti
ipsec local-id ipsec-policy-forti 192.168.1.0/24
ipsec remote-id ipsec-policy-forti 192.168.41.0/24

interface GigaEthernet2.0
ip address 192.168.1.254/24
no shutdown

interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding ppp_profile
ip address 192.168.101.254/24
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 udp 500
no shutdown

interface Tunnel1.0
tunnel mode ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy-forti out
no shutdown

以上で、RTX側の設定も以上です。
続いてVPNが正常にUPしているか確認します。

FortigateVPN確認手順

「モニタ」>「IPSecモニタ」画面で、以下ステータスを確認
ステータス:アップ

IX2215VPN確認手順

以下コマンドを実行

show ipsec sa

# show ipsec sa
Router1(config)# sh ipsec sa
IPsec SA – 1 configured, 1 created
Interface is Tunnel1.0
Key policy map name is ipsec-policy-forti
Tunnel mode, 4-over-4, dynamic-map
Local address is 192.168.101.254
Remote address is 192.168.102.254
Outgoing interface is GigaEthernet0.1
Interface MTU is 1390, path MTU is 1454
Inbound:
ESP, SPI is 0xe632bbed(3862084589)
Transform is ESP-AES-256-HMAC-SHA2-256-128
Remaining lifetime is 42675 seconds
Replay detection support is on
Outbound:
ESP, SPI is 0x790e6752(2030987090)
Transform is ESP-AES-256-HMAC-SHA2-256-128
Remaining lifetime is 42675 seconds
Replay detection support is on
Perfect forward secrecy is 1024-bit

上記のように「IPsec SA – 1 configured, 1 created」のcreatedと表示されればUPしています。

疎通確認

ちゃんとVPN接続されているか確認してみます。

Fortigate配下のPCからIX2215のLAN側のIPアドレスに対してping、traceを実行してみます。

今回はVPN接続のみを目的としていますので、ACLの設定は入っていません。

以上です。ありがとうございました。

以下はFortigateの参考書ですが、今回のような他機種間のVPN接続の方法については記載がありませんのでご注意ください。

FortiGateで始める 企業ネットワークセキュリティ

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

30歳未経験からネットワークエンジニアに転職し、運用→構築→設計の仕事をやってます。色んな機器(Cisco、YAMAHA、Fortigate、PaloAlto)を触らせてもらいとても楽しい仕事です!

現在は派遣にて主にCiscoを中心としたネットワーク設計~構築をしております。

また、2023年より副業で個人事業主や小規模企業からのパソコン設定~ネットワーク作業の仕事を請け負っておりますので、もしお困りの方がいましたらお気軽にお問い合わせください。

●今までの作業履歴
- パソコンの新旧入れ替え
- 拠点間のインターネットVPN接続(YAMAHA-Fortigate)

コメント

コメントする

目次